朝鲜APT KONNI使用俄语武器化文件

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与朝鲜有联系的 Konni APT 组织使用俄语 Microsoft Word 文档传播恶意软件。

FortiGuard 实验室研究人员观察到，与朝鲜有关的Konni APT 组织在正在进行的网络钓鱼活动中使用武器化的俄语 Word 文档。

KONNI  RAT 于 2017 年首次被思科 Talos 研究人员发现，自 2014 年以来一直未被发现， 并被用于高度针对性的攻击。由于不断进化，RAT能够逃避检测，能够在目标系统上执行任意代码并窃取数据。

在正在进行的活动中，威胁行为者使用 远程访问木马 (RAT) 提取信息并在目标设备上执行命令。

“FortiGuard 实验室最近发现，在正在进行的 Konni 活动中，使用了带有恶意宏的俄语 Word 文档。”阅读Fortinet 发布的报告。 “尽管该文件的创建日期是 9 月，但内部遥测数据显示该活动的 C2 服务器上正在进行的活动”

打开文档后，会出现一个黄色提示栏，并试图欺骗受害者“启用内容”。 Word文档似乎是俄语的。

启用宏后，嵌入式 VBA 会显示一篇题为“西方对特种军事行动进展的评估”的俄罗斯文章。

该宏使用“vbHide”参数启动“check.bat”脚本，以避免向受害者显示命令提示符窗口。

批处理脚本进行系统检查和UAC绕过。随后，它执行操作来部署具有信息收集和数据泄露功能的 DLL 文件。

恶意代码通过 POST 请求将泄露的加密数据上传到 C2 服务器。

尽管C2服务器没有透露实际的命令，但专家可以从DLL文件的汇编代码中推断出来。

“有效负载结合了 UAC 绕过和与 C2 服务器的加密通信，使威胁行为者能够执行特权命令。”报告总结道。 “随着这种恶意软件的不断发展，建议用户对可疑文件保持谨慎。”

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT KONNI使用俄语武器化文件